"EU GDPR 시행 3년…누적 과징금 3천675억원"

[아이뉴스24 최은정 기자] 3천675억원(2억7천287만 유로).

지난 2018년 5월 유럽연합(EU) 일반개인정보보호법(GDPR) 시행 이후 3년간 법 위반 기업들이 낸 누적 과징금 총 액수다.

현재까지 구글, 에이치앤엠(H&M), 텔레콤이탈리아 모바일(TIM) 등 글로벌 기업들이 각각 664억원, 465억원, 369억원의 과징금을 납부해 과징금 부과 순위 톱3에 이름을 올렸다.

이들 세 개 기업들은 EU 회원국의 감독기구로부터 적법한 근거없이 개인정보를 수집·이용·처리했다는 점을 지적 받고 과징금을 부과받았다. 구글과 TIM은 고객 개인정보, H&M은 직원 개인정보 처리와 관련된 위반 사례였다.

GDPR 과징금은 법 위반 정도, 정보주체의 피해, 사업자가 위험을 최소화하려는 노력 등 11가지 기준에 따라 책정된다. 현재까지 과징금을 부과한 우리나라 기업은 없는 것으로 파악된다.

지난 23일 한국인터넷진흥원(KISA)은 이 같은 내용을 소개하고 GDPR 과징금 부과 기준, GDPR 적정성 초기 결정 이후 대응과 변화 등 내용을 공유했다.

KISA에 따르면 현재 EU 시장에 진입한 국내 기업 수는 독일이 300개 이상으로 가장 많다. 이외에도 체코, 폴란드 등 동유럽 지역에 제조 부문 기업들이 다수 진입해 있는 상황.

GDPR은 모든 EU 회원국은 물론 회원국 내에 사업장을 운영하고 개인정보를 수집하는 모든 역외 기업까지 적용 대상이어서 국내 기업들의 대비가 필수다.

윤재석 KISA 개인정보협력팀장은 "고객의 개인정보 관리뿐 아니라 내부 현지 직원의 개인정보 관리도 매우 중요하다"고 강조했다.

이어 "실제로 국내 기업의 현지인 직원들이 개인정보 처리·보관 등 관련해 항의하는 사례가 많이 발생하고 있다"며 "이를 해결하기 위해 기업의 GDPR 관련 문의도 증가하고 있다"고 말했다.

◆ GDPR 위반 사례 중 1위는…'정보 처리 근거 부족'

과징금을 납부한 사례 중 어떠한 GDPR 위반 유형이 가장 많았을까.

KISA에 따르면 앞선 구글 등 기업 사례와 같이 '개인정보 적법 처리 근거 부족'이 60%(219건)로 1위를 기록했다. GDPR 6조 위반 사항이다. 이어 기술·관리적 보안 조치 미흡(24%), 개인정보 처리 원칙 위반(7%), 정보주체 권리 이행 미흡(6%) 등 순으로 집계됐다.

정수연 KISA 개인정보협력팀 책임은 "GDPR 기준으로 중대한 위험에 해당하는 유형은 1위와 3위를 기록한 항목"이라며 "해당 유형은 다른 유형에 비해 더 높은 과징금 상한선을 적용을 받을 수 있는 만큼 국내 기업들의 각별한 주의가 필요하다"고 설명했다.

이와 함께 그는 정보 수집 원칙에 따라 개인정보를 최소한으로, 꼭 필요한 부분만 수집하고 목적 달성 이후엔 정보를 삭제하는 것을 권고했다. 이러한 정보 관리·처리 과정을 상세하게 기록해 놓는 것도 중요하다고 강조했다.

EU 국가별 감독기구가 GDPR 위반 기업에 부과한 누적 과징금을 살펴보면, 이탈리아(945억원)가 가장 높았으며 다음으로 프랑스(726억원), 독일(654억원), 영국(588억원), 스페인(334억원) 등이 뒤를 이었다. 과징금 부과 건수는 스페인(205건), 이탈리아(58건), 루마니아(50건), 헝가리(38건), 독일(30건) 등 순이었다.

정수연 책임은 "부과 건수 상위권에 있는 국가들은 감독기구들이 적극적으로 활동하고 있다는 의미"라며 "개인정보에 대한 국민들의 인식이 높아 정보주체 이동 등에 대한 민원 등을 적극 제기한 것으로 보인다"고 부연했다.

아울러 산업군별 과징금 부과액은 미디어·방송통신, 고용, 교통·에너지, 숙박, 금융·보험·컨설팅 등 순으로 높았다.

◆ 한국, GDPR 적정성 초기결정 완료…KISA, 기업 대응 지원 '확대'

GDPR은 원칙적으로 EU 역외로 개인정보를 이전하는 것을 금지하고 있다. 다만, 45조에 따라 적정성 결정을 받은 국가에 한해 예외적으로 이를 허용한다.

우리나라는 지난달 30일 EU GDPR 적정성 '초기결정'을 획득하면서 이르면 올 상반기 EU 시민의 개인정보를 자유롭게 역외이전할 수 있다. 사업자들이 기존에 개인정보 이전 수단으로 활용해온 표준계약(SCC) 체결이 불필요하게 된 것.

정 책임은 "그동안 적정성 결정 등 정부 차원의 지원이 없었기 때문에 사업자 스스로 SCC를 통해 개인정보를 이전해왔다"며 "SCC 체결에 앞서 필요한 내부 검토 과정과 이후 서비스별 SCC 갱신·연장·재계약 등으로 인해 기업에 비용·시간이 많이 들었는데, 이제는 이러한 부담을 줄일 수 있다"고 했다.

GDPR 적정성 결정이 최종 승인되면 개인정보 역외이전의 명확한 법적 수단이 마련된다는 점에서 의의가 있다.

정 책임은 "적정성 결정으로 개인정보 국외 이전 시 기업의 의무 부담이 경감된 것이지 전반적인 GDPR 컴플라이언스 의무가 사라지는게 아니다"고 유의점을 짚었다. 그러면서 "정보주체 권리 보장을 위한 기업의 책임 의무는 여전히 준수해야 한다"고 덧붙였다.

KISA는 올해 GDPR을 비롯해 전세계 개인정보 보호법 관련 규정 준수를 위한 기업 지원 사업을 확대한다. 컨설팅, 수시상담, 교육·세미나 등을 기존 EU 중심에서 미국, 중국 등 국가까지 추가해 지원할 예정이다.

국가별 개인정보 보호법 정보 제공은 전년대비 4개국을 추가해 40개국 대상으로 실시한다. 해당 4개 국가는 무역 규모, 입법 현황 등을 종합 고려해 국내 기업이 다수 진입해 있는 동남아시아 지역에서 우선 선정할 방침이다.

또 독일에 진입한 국내 기업이 가장 많은 만큼 KISA는 현지 협력 채널을 구축할 계획이다.

한편 GDPR에서 말하는 정보 역외이전은 EU 시민의 개인정보를 수집한 역내 사업자가 이를 자국의 개인정보 처리자에게 보내는 경우를 의미한다. 반면 한국의 개인정보 처리자가 EU에서 직접 시민의 개인정보를 수집하고 우리나라로 가져오는 경우는 역외이전에 해당하지 않는다. 정보 직접수집에 속하기 때문에 사업자는 GDPR 기반 법 적용을 받게 된다.

/최은정 기자([email protected])